anonhaven

CVE-2026-26964

LOW CVSS 3.1: 2,7 EPSS 0.06%
Обновлено 20 февраля 2026
Slack
Параметр Значение
CVSS 2,7 (LOW)
Устранено в версии 1.635.0
Тип уязвимости CWE-200 (Раскрытие информации)
Поставщик Slack
Публичный эксплойт Нет

Windmill — это платформа для разработчиков с открытым исходным кодом для внутреннего кода: API, фоновых заданий, рабочих процессов и пользовательских интерфейсов. Версии 1.634.6 и ниже позволяют пользователям, не являющимся администраторами, получать секреты клиента Slack OAuth, которые должны быть доступны только администраторам рабочей области. Конечная точка GET /api/w/{workspace}/workspaces/get_settings возвращает slack_oauth_client_secret любому аутентифицированному участнику рабочей области, независимо от его статуса администратора.

Ожидается, что пользователи, не являющиеся администраторами, увидят отредактированную версию настроек рабочей области, поскольку некоторые из них необходимы для корректной работы интерфейса даже для пользователей, не являющихся администраторами. Однако конфигурация Slack не должна быть видна лицам, не являющимся администраторами. Это устаревшая проблема, при которой параметр сохранялся как простое значение вместо использования косвенного указания $variable и никогда не добавлялся в логику редактирования.

Эта проблема исправлена ​​в версии 1.635.0.

Показать оригинальное описание (EN)

Windmill is an open-source developer platform for internal code: APIs, background jobs, workflows and UIs. Versions 1.634.6 and below allow non-admin users to obtain Slack OAuth client secrets, which should only be accessible to workspace administrators. The GET /api/w/{workspace}/workspaces/get_settings endpoint returns the slack_oauth_client_secret to any authenticated workspace member, regardless of their admin status. It is expected behavior for non-admin users see a redacted version of workspace settings, as some of them are necessary for the frontend to behave correctly even for non-admins. However, the Slack configuration should not be visible to non-admins. This is a legacy issue where the setting was stored as a plain value instead of using $variable indirection, and it was never added to the redaction logic. This issue has been fixed in version 1.635.0.

Характеристики атаки

Способ атаки
По сети
Атака возможна удалённо
Сложность
Низкая
Легко эксплуатировать
Нужны права
Высокие
Нужны права администратора
Участие пользователя
Не требуется
Не нужно действие пользователя

Последствия

Конфиденциальность
Низкое
Частичная утечка данных
Целостность
Нет
Нет модификации данных
Доступность
Нет
Нет нарушения работы

Строка CVSS v3.1

Тип уязвимости (CWE)

CWE-200 Information Exposure (Раскрытие информации)

Ссылки 3

https://github.com/windmill-labs/windmill/commit/43218c62852490d0efafa8f94385bf…
security-advisories@github.com
https://github.com/windmill-labs/windmill/releases/tag/v1.635.0
security-advisories@github.com
https://github.com/windmill-labs/windmill/security/advisories/GHSA-f27g-j463-q8…
security-advisories@github.com
Share Post Share Share Share

Связанные уязвимости

CVE-2025-12141

Slack

1,3

CVE-2026-5557

Slack

5,3

CVE-2026-34219

Slack

8,2

CVE-2026-32895

Openclaw

5,3

CVE-2026-28392

Slack

8,2